La inteligencia de amenazas cibernéticas se centra en indicadores de compromiso atómicos y computados. Estos indicadores son la principal fuente de inteligencia cibernética táctica de la que la mayoría de las organizaciones se benefician. Se expresan en formatos legibles por máquina y se pueden cargar fácilmente en dispositivos de seguridad para proteger infraestructuras. Sin embargo, su utilidad es muy limitada, especialmente en términos de tiempo de vida. Estos indicadores pueden ser útiles al tratar con actores no avanzados, pero son fácilmente evitados por los avanzados. Para detectar las actividades de actores avanzados, un analista debe ocuparse de indicadores de compromiso conductuales, que representan tácticas, técnicas y procedimientos que no son tan comunes como los atómicos y computados. En este documento, analizamos por qué estos indicadores no se utilizan ampliamente e identificamos los requisitos clave para la detección, especificación y compartición exitosas de indicadores de compromiso conductuales. Seguimos el ciclo de inteligencia como la secuencia organizada de pasos para que un equipo defensivo trabaje, proporcionando así una referencia común para que estos equipos identifiquen brechas en sus capacidades.